Vulnerabilità per IIS 6.0 e punti e virgola
Durante le vacanze di Natale è stata riportata una vulnerabilità per IIS 6.0 (Windows Server 2003), per cui se mettete un ; in mezzo ad un path, per come IIS gestisce l'accesso al disco, viene invocato l'handler sbagliato. Supponiamo di richiamare
http://www.miosito.local/pagina.aspx;test.jpg
Se avessimo uploadato un file con questo nome nella directory, verrebbe eseguire come se si trattasse di una pagina ASP.NET.
In realtà ci sono un po' di considerazioni che mitigano il problema, tutte riportate qui.
IIS 7.0 e 7.5 (Windows Server 2008 e 2008 R2) ne sono immuni.
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Nella stessa categoria
- Heartbleed Bug, OpenSSL, IIS e .NET Framework, il 9 aprile 2014 alle 18:51
- AppFabric Caching, SQL Server e cache in throttling, il 17 gennaio 2012 alle 08:54
- Il concetto di consumo in Windows Azure, il 6 febbraio 2010 alle 13:35
- Warm-up dell'applicazione con IIS 7.5, il 15 ottobre 2009 alle 09:44
- IIS 7.0 in Windows Server 2008 R2, il 12 gennaio 2009 alle 10:16
I più letti del mese